Configurer l'authentification Web centrale (CWA) sur le WLC et ISE Catalyst 9800

Introduction

Ce document décrit comment configurer un réseau local sans fil (WLAN) d'authentification Web centrale sur un contrôleur sans fil de la gamme Catalyst 9800 (WLC 9800) via l'interface graphique utilisateur (GUI) ou l'interface de ligne de commande (CLI).

Conditions préalables

Conditions requises

Cisco recommande que vous connaissiez la configuration du WLC 9800.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• 9800 WLC Cisco IOS XE Gibraltar v16.12
• Identity Service Engine (ISE) v2.4

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configuration

Diagramme du réseau

Configuration AAA sur WLC 9800

Étape 1. Ajoutez le serveur ISE à la configuration du WLC 9800 et créez une liste de méthodes d'authentification.

Naviguez jusqu’à Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add et entrez les informations du serveur RADIUS comme indiqué dans l'image.

Assurez-vous que la prise en charge de CoA est activée si vous prévoyez d'utiliser l'authentification Web centrale (ou tout type de sécurité nécessitant CoA) à l'avenir. 

Étape 2. Créez une liste de méthodes d'autorisation.

Accédez à Configuration > Security > AAA > AAA Method List > Authorization > + Add comme indiqué dans l'image.

Étape 4 (facultatif). Créez une liste de méthodes comptables comme indiqué dans l'image.

Note: CWA ne fonctionnera pas si vous décidez d'équilibrer la charge (à partir de la configuration CLI de Cisco IOS XE) de vos serveurs radius en raison de l'ID de bogue Cisco CSCvh03827. L'utilisation d'équilibreurs de charge externes est correcte.

Étape 5 (facultatif).

Vous pouvez définir la stratégie AAA pour envoyer le nom SSID en tant qu'attribut Called-station-id, ce qui peut être utile si vous voulez utiliser cette condition sur ISE plus tard dans le processus.

Accédez à Configuration > Security > Wireless AAA Policy et modifiez la stratégie aaa par défaut ou créez-en une nouvelle.

Vous pouvez choisir SSID comme option 1. N'oubliez pas que même lorsque vous choisissez SSID uniquement, l'ID de station appelée ajoute toujours l'adresse MAC de l'AP au nom SSID, comme indiqué dans l'image.

Configuration WLAN

Étape 1. Créer un WLAN

IUG

Accédez à Configuration > Tags & Profiles > WLAN > + Ajouter et configurer le réseau selon les besoins.

Étape 2. Saisissez les informations WLAN.

Étape 3. Accédez à l'onglet Sécurité et sélectionnez la méthode de sécurité requise. Dans ce cas, seul le filtrage MAC et la liste que vous avez créée à l'étape 2. dans la section Configuration AAA.

CLI :

# config t
(config)#wlan cwa-ssid 2 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown

Configuration du profil de stratégie

À l'intérieur d'un profil de stratégie, vous pouvez décider à quel VLAN assigner les clients, entre autres paramètres (liste de contrôle d'accès [ACLs], qualité de service [QoS], ancrage de mobilité, minuteurs, etc.).

Vous pouvez utiliser votre profil de stratégie par défaut ou en créer un nouveau.

IUG:

Étape 1. Créer un nouveau profil de stratégie.

Accédez à Configuration > Tags & Profiles > Policy et configurez votre profil de stratégie par défaut ou créez-en un nouveau.

Assurez-vous que le profil est activé.

Étape 2. Sélectionnez le VLAN.

Accédez à l'onglet Access Policies et sélectionnez le nom du VLAN dans la liste déroulante ou tapez manuellement l'ID de VLAN. Ne configurez pas de liste de contrôle d'accès dans le profil de stratégie.

Étape 3. Configurez le profil de stratégie pour accepter les remplacements ISE (Autoriser la substitution AAA) et le changement d'autorisation (CoA) (État NAC). Vous pouvez également spécifier une méthode comptable.

CLI :

# config
# wireless profile policy <policy-profile-name>
# aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown

Configuration des balises de stratégie

À l'intérieur de l'étiquette de stratégie se trouve l'emplacement où vous liez votre SSID à votre profil de stratégie. Vous pouvez créer une nouvelle balise de stratégie ou utiliser la balise default-policy.

Remarque : la balise default-policy mappe automatiquement tout SSID avec un ID WLAN compris entre 1 et 16 au profil de stratégie par défaut. Il ne peut pas être modifié ou supprimé.  Si vous avez un WLAN avec ID 17 ou supérieur, le tag default-policy-tag ne peut pas être utilisé.

IUG:

Naviguez jusqu'à Configuration > Tags & Profiles > Tags > Policy et ajoutez-en un nouveau si nécessaire, comme illustré dans l'image.

Liez votre profil WLAN au profil de stratégie souhaité.

CLI :

# config t
# wireless tag policy <policy-tag-name>
# wlan <profile-name> policy <policy-profile-name>

Affectation de balise de stratégie

Attribuez la balise Policy aux points d'accès requis.

IUG:

Afin d'attribuer la balise à un point d'accès, naviguez jusqu'à Configuration > Wireless > Access Points > AP Name > General Tags, effectuez l'affectation requise, puis cliquez sur Update & Apply to Device.

Note: N'oubliez pas qu'après avoir modifié la balise de stratégie sur un AP, il perd son association au WLC 9800 et se reconnecte dans un délai d'environ 1 minute.

Afin d'attribuer la même balise de stratégie à plusieurs points d'accès, accédez à Configuration > Wireless > Wireless Setup > Start Now > Apply.

Sélectionnez les points d'accès auxquels vous voulez attribuer la balise et cliquez sur + Tag APs , comme indiqué dans l'image.

Sélectionnez la balise blanchie et cliquez sur Enregistrer et appliquer au périphérique comme indiqué dans l'image.

CLI :

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

Configuration de la liste de contrôle d'accès de redirection

Étape 1. Accédez à Configuration > Security > ACL > + Add afin de créer une nouvelle ACL. 

Sélectionnez un nom pour la liste de contrôle d'accès, définissez-la comme type IPv4 étendu et ajoutez chaque règle comme séquence, comme indiqué dans l'image.

Vous devez refuser le trafic vers vos noeuds PSN ISE, refuser DNS et autoriser tout le reste. Cette liste de contrôle d'accès de redirection n'est pas une liste de contrôle d'accès de sécurité, mais une liste de contrôle d'accès de type punt qui définit le trafic qui va au CPU (sur autorisation) pour un traitement ultérieur (comme la redirection) et le trafic qui reste sur le plan de données (sur refus) et évitera la redirection.

La liste de contrôle d'accès doit ressembler à ceci (remplacez 10.48.39.28 par l'adresse IP de votre ISE) :

Remarque : pour la liste de contrôle d'accès de redirection, pensez à refuser une action comme une redirection de refus (pas refuser le trafic) et à autoriser une action comme une redirection d'autorisation. Le WLC examinera uniquement le trafic qu'il peut rediriger (les ports 80 et 443 par défaut).

CLI :

ip access-list extended REDIRECT
 deny ip any host 10.48.39.28
 deny ip host 10.48.39.28 any
 deny udp any any eq domain
 deny udp any eq domain any
 permit tcp any any eq 80

Note: Si vous mettez fin à la liste de contrôle d'accès avec une permit ip any any any any au lieu d'une autorisation concentrée sur le port 80, le WLC redirigera également HTTPS, ce qui est souvent indésirable car il devra fournir son propre certificat et créera toujours une violation de certificat.

Vous pouvez améliorer la liste de contrôle d'accès en refusant uniquement le port invité 8443 vers le serveur ISE.

Configuration ISE

Ajouter un WLC 9800 à ISE

Étape 1. Accédez à Administration > Network Resources > Network Devices comme indiqué dans l'image.

 Étape 2. Cliquez sur +Ajouter et saisissez les paramètres du WLC 9800 comme indiqué dans l'image.

Le cas échéant, il peut s'agir d'un nom de modèle, d'une version de logiciel, d'une description et d'attribuer des groupes de périphériques réseau en fonction des types de périphériques, de l'emplacement ou des WLC.

a.b.c.d correspond à l'interface du WLC qui envoie l'authentification demandée.  

Pour plus d'informations sur les groupes de périphériques réseau, consultez le guide d'administration ISE ISE : ISE - Network Device Groups

Créer un nouvel utilisateur sur ISE

Étape 1. Accédez à Administration > Identity Management > Identities > Users > Add comme indiqué dans l'image.

Étape 2. Entrez l’information.

Dans cet exemple, cet utilisateur appartient à un groupe appelé ALL_ACCOUNTS, mais il peut être ajusté selon les besoins, comme indiqué dans l'image.

Créer un profil d'autorisation

Le profil de stratégie est le résultat attribué à un client en fonction de ses paramètres (adresse MAC, informations d'identification, WLAN utilisé, etc.). Il peut affecter des paramètres spécifiques tels que les redirections de VLAN (Virtual Local Area Network), de listes de contrôle d'accès (ACL), d'URL (Uniform Resource Locator), etc. 

Ces étapes montrent comment créer le profil d'autorisation nécessaire pour rediriger le client vers le portail d'authentification. Notez que dans les versions récentes d'ISE, un résultat d'autorisation Cisco_Webauth existe déjà. Ici, vous pouvez le modifier pour modifier le nom de la liste de contrôle d'accès de redirection afin de correspondre à ce que vous avez configuré sur le WLC.

Étape 1. Accédez à Stratégie > Éléments de stratégie > Résultats > Autorisation > Profils d'autorisation. Cliquez sur Add afin de créer votre propre ou modifier le résultat par défaut Cisco_Webauth.

Étape 2. Entrez les informations de redirection. Assurez-vous que le nom de la liste de contrôle d'accès est le même que celui qui a été configuré sur le WLC 9800.

Configurer la règle d'authentification

Étape 1. Accédez à Stratégie > Jeux de stratégies. Cliquez sur les jeux de stratégies appropriés (si vous en avez déjà plusieurs configurés) ou sur la flèche Affichage par défaut à droite de l'écran.

Étape 2. Développez la stratégie d'authentification. Pour la règle MAB (correspondant à la MAB filaire ou sans fil), développez Options et choisissez l'option CONTINUER au cas où l'utilisateur ne serait pas trouvé.

Étape 3. Cliquez sur Enregistrer afin d'enregistrer les modifications.

Configurer les règles d'autorisation

La règle d'autorisation est celle qui détermine les autorisations (quel profil d'autorisation) qui sont appliquées au client.

Étape 1. Sur la même page Jeu de stratégies, fermez la stratégie d'authentification et développez la stratégie d'autorisation comme indiqué dans l'image.

Étape 2. Les versions ISE récentes commenceront par une règle précréée appelée Wifi_Redirect_to_Guest_Login qui correspond le plus à nos besoins. Tournez le panneau gris sur la gauche pour activer.

Étape 3. Cette règle correspond à Wireless_MAB uniquement et renvoie les attributs de redirection CWA. Nous allons maintenant éventuellement ajouter un peu de torsion et le faire correspondre uniquement sur notre SSID spécifique. Cliquez sur la condition (Wireless_MAB à partir de maintenant) pour faire apparaître Conditions Studio. Ajoutez une condition à droite et choisissez le dictionnaire Radius avec l'attribut Called-Station-ID. Faites-le correspondre à votre nom SSID. Validez en cliquant sur Utiliser en bas de l'écran comme indiqué dans l'image.

Étape 4. Vous avez maintenant besoin d'une deuxième règle, définie avec une priorité plus élevée, qui correspondra à la condition Guest Flow afin de renvoyer les détails d'accès au réseau une fois que l'utilisateur s'est authentifié sur le portail. Vous pouvez utiliser la règle d'accès invité Wifi qui est également précréée par défaut sur les versions ISE récentes. Vous n'avez alors qu'à activer la règle avec une marque verte sur la gauche.  Vous pouvez renvoyer le paramètre PermitAccess par défaut ou configurer des restrictions plus précises sur les listes d'accès.

Étape 5. Enregistrez les règles.

Cliquez sur Enregistrer au bas des règles.

Points d'accès de commutation locale Flexconnect UNIQUEMENT

Que se passe-t-il si vous disposez de points d'accès de commutation locaux Flexconnect et de WLAN ? Les sections précédentes sont toujours valides. Cependant, nous avons besoin d'une étape supplémentaire pour pousser la liste de contrôle d'accès de redirection vers les points d'accès à l'avance.

Accédez à Configuration > Balises et profils > Flex et cliquez sur votre profil Flex. Accédez à l'onglet ACL de stratégie.

Cliquez sur Ajouter comme indiqué dans l'image.

Sélectionnez votre nom de liste de contrôle d'accès de redirection et activez l'authentification Web centrale. Cette case à cocher inverse automatiquement la liste de contrôle d'accès sur l'AP lui-même (c'est parce qu'une instruction « deny » signifie « ne pas rediriger vers cette IP » sur le WLC dans Cisco IOS XE, mais sur l'AP, l'instruction « deny » signifie le contraire, de sorte que cette case à cocher échange automatiquement tous les permis et refuse lors de la diffusion vers l'AP. Vous pouvez le vérifier avec une liste d'accès show ip de l'interface CLI de l'AP).

Note: Dans le scénario de commutation locale Flexconnect, la liste de contrôle d’accès DOIT mentionner spécifiquement les instructions de retour (qui ne sont pas nécessairement requises en mode local). Assurez-vous donc que toutes vos règles de liste de contrôle d’accès couvrent les deux modes de trafic (à destination et en provenance de l’ISE, par exemple).

N'oubliez pas de cliquer sur Enregistrer, puis Mettre à jour et appliquer au périphérique.

Vérifiez que le serveur ip http est configuré.

Certificats

Pour que le client fasse confiance au certificat d'authentification Web, il n'est pas nécessaire d'installer un certificat sur le WLC car le seul certificat présenté sera le certificat ISE (qui doit être approuvé par le client).

Vérification

Vous pouvez utiliser ces commandes pour vérifier la configuration actuelle.

# show run wlan
# show run aaa
# show aaa servers
# show ap config general
# show ap name <ap-name> config general 
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name> 

Voici la partie pertinente de la configuration du WLC correspondant à cet exemple :

aaa new-model
!
aaa authentication dot1x CWA group radius
aaa authorization network default group radius
aaa authorization credential-download wcm_loc_serv_cert local
aaa accounting identity CWAacct start-stop group radius
!
aaa server radius dynamic-author
 client 10.48.39.28 server-key cisco123
!
aaa session-id common
!
!
radius server nicoISE
 address ipv4 10.48.39.28 auth-port 1812 acct-port 1813
 key cisco123
!
!
wireless aaa policy default-aaa-policy
wireless cts-sxp profile default-sxp-profile

wireless profile policy central-switching-NAC
 aaa-override
 no central association
 no central switching
 nac
 vlan 1468
 no shutdown
wireless tag policy flexpolicy
 wlan Nico9800flex policy central-switching-NAC
wlan cwa-ssid 2 cwa-ssid
 mac-filtering default
 no security wpa
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 no shutdown
ap a46c.2a75.fb80
 policy-tag flexpolicy
 site-tag FlexSite
ap f80b.cbe4.7f40
 policy-tag flexpolicy
 site-tag FlexSite
ip http server
ip http secure-server

Dépannage

Si vous n'êtes redirigé que lors de la saisie d'une adresse IP HTTPS et non sur des paquets HTTP, assurez-vous que vous avez « ip http server » configuré sur la configuration du WLC. À ce jour, la configuration du portail d'administration Web est liée à la configuration du portail d'authentification Web et elle doit être à l'écoute sur le port 80 afin de rediriger. Cela changera dans la version 17.3 et ultérieure.

Le WLC 9800 fournit des fonctionnalités de suivi TOUJOURS ACTIVÉES. Cela garantit que toutes les erreurs liées à la connectivité du client, les messages de niveau d'avertissement et d'avertissement sont constamment enregistrés et vous pouvez consulter les journaux d'un incident ou d'une défaillance après qu'il se soit produit. 

Note: Selon le volume de journaux générés, vous pouvez revenir quelques heures en arrière à plusieurs jours.

Afin d'afficher les traces collectées par défaut par le WLC 9800, vous pouvez vous connecter via SSH/Telnet au WLC 9800 et suivre ces étapes (assurez-vous que vous enregistrez la session dans un fichier texte).

Étape 1. Vérifiez l'heure actuelle du contrôleur afin que vous puissiez suivre les journaux dans le temps remontant au moment où le problème s'est produit.

# show clock

 Étape 2. Collectez les syslogs à partir de la mémoire tampon du contrôleur ou du syslog externe, comme le dicte la configuration système. Cela permet d'afficher rapidement l'état du système et les erreurs, le cas échéant.

# show logging

Étape 3. Vérifiez si des conditions de débogage sont activées.

# show debugging
Cisco IOS XE Conditional Debug Configs:

Conditional Debug Global State: Stop

Cisco IOS XE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Note: Si vous voyez une condition répertoriée, cela signifie que les traces sont enregistrées jusqu'au niveau de débogage pour tous les processus qui rencontrent les conditions activées (adresse MAC, adresse IP, etc.). Cela augmenterait le volume des journaux. Par conséquent, il est recommandé d'effacer toutes les conditions lorsque le débogage n'est pas actif

Étape 4. En supposant que l'adresse MAC testée n'est pas répertoriée comme condition à l'étape 3, collectez les traces de niveau de notification toujours actives pour l'adresse MAC spécifique.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

Vous pouvez afficher le contenu de la session ou copier le fichier sur un serveur TFTP externe.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Débogage conditionnel et suivi radio actif 

Si les traces toujours actives ne vous donnent pas suffisamment d'informations pour déterminer le déclencheur du problème en cours d'investigation, vous pouvez activer le débogage conditionnel et capturer la trace Radio Active (RA), qui fournira des traces de niveau de débogage pour tous les processus qui interagissent avec la condition spécifiée (adresse MAC du client dans ce cas). Afin d'activer le débogage conditionnel, suivez ces étapes.

Étape 5. Assurez-vous qu'aucune condition de débogage n'est activée.

# clear platform condition all

Étape 6. Activez la condition de débogage pour l'adresse MAC du client sans fil que vous voulez surveiller.

Ces commandes commencent à surveiller l'adresse mac fournie pendant 30 minutes (1 800 secondes). Vous pouvez éventuellement augmenter cette durée jusqu'à 2085978494 secondes.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

Remarque : afin de surveiller plusieurs clients à la fois, exécutez la commande debug wireless mac <aaaa.bbbb.cccc> par adresse mac.

Remarque : vous ne voyez pas le résultat de l'activité du client sur la session de terminal, car tout est mis en mémoire tampon en interne pour être affiché ultérieurement.

Étape 7. Reproduisez le problème ou le comportement à surveiller.

Étape 8. Arrêtez les débogages si le problème est reproduit avant que l'heure de surveillance par défaut ou configurée ne soit activée.

# no debug wireless mac <aaaa.bbbb.cccc>

Une fois que le temps de surveillance est écoulé ou que le débogage sans fil a été arrêté, le WLC 9800 génère un fichier local portant le nom suivant :

ra_trace_MAC_aaabbbcccc_HHMMSS.XXX_timezone_Day_Week_Month_Day_year.log

Étape 9.  Collectez le fichier de l'activité d'adresse MAC.   Vous pouvez copier le fichier .log de la trace de ra sur un serveur externe ou afficher la sortie directement à l'écran.

Vérifiez le nom du fichier de traces RA.

# dir bootflash: | inc ra_trace

Copiez le fichier sur un serveur externe :

# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log  tftp://a.b.c.d/ra-FILENAME.txt

 Afficher le contenu :

# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log 

Étape 10. Si la cause racine n'est toujours pas évidente, collectez les journaux internes qui sont une vue plus détaillée des journaux de niveau débogage. Vous n'avez pas besoin de déboguer à nouveau le client car nous ne faisons qu'examiner plus en détail les journaux de débogage qui ont déjà été collectés et stockés en interne.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Note: Cette sortie de commande retourne des traces pour tous les niveaux de journalisation pour tous les processus et est assez volumineux. Contactez le TAC de Cisco pour vous aider à analyser ces traces.

Vous pouvez copier le fichier ra-internal-FILENAME.txt sur un serveur externe ou afficher le résultat directement à l'écran.

Copiez le fichier sur un serveur externe :

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

Afficher le contenu :

# more bootflash:ra-internal-<FILENAME>.txt

 Étape 11. Supprimez les conditions de débogage.

# clear platform condition all

Note: Assurez-vous de toujours supprimer les conditions de débogage après une session de dépannage.

Exemples

Si le résultat de l'authentification n'est pas ce que vous attendez, il est important d'accéder à la page Opérations ISE > Journaux en direct et d'obtenir les détails du résultat de l'authentification.

 La raison de l'échec (en cas de défaillance) et tous les attributs Radius reçus par ISE vous seront présentés.

Dans l'exemple suivant, ISE a rejeté l'authentification car aucune règle d'autorisation ne correspond. Ceci est dû au fait que l'attribut Called-station-ID envoyé en tant que nom SSID ajouté à l'adresse MAC de l'AP, alors que l'autorisation était une correspondance exacte avec le nom SSID. Il sera fixé en changeant cette règle en « contient » au lieu de « égal ».

Après avoir résolu ce problème, le client Wi-Fi ne peut toujours pas s'associer au SSID alors que ISE prétend que l'autorisation est une réussite et a renvoyé les attributs CWA appropriés.

Vous pouvez accéder à la page Dépannage > Suivi radioactif de l'interface Web du WLC.

dans la plupart des cas, vous pouvez compter sur les journaux toujours actifs et même obtenir les journaux des tentatives de connexion passées sans reproduire à nouveau le problème.

Ajoutez l'adresse MAC du client et cliquez sur Generate comme indiqué dans l'image.

Dans ce cas, le problème réside dans le fait que nous avons fait une faute de frappe lors de la création du nom de la liste de contrôle d'accès et qu'il ne correspond pas au nom de la liste de contrôle d'accès retourné par les ISE sur le WLC se plaint qu'il n'existe pas de liste de contrôle d'accès telle que celle demandée par ISE :

2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162  client authz result: FAILURE
2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42, 
2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.

Le délai d'attente de BJB s'est arrêté lors de la connexion au serveur principal BDB. Vérifiez que vous êtes connecté au réseau interne Cisco.